| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Wlam czy ostrzezenie ??? http://forum.freesco.pl/viewtopic.php?f=22&t=11559 |
Strona 1 z 1 |
| Autor: | albert_szpenio [ środa, 8 marca 2006, 10:47 ] |
| Tytuł: | Wlam czy ostrzezenie ??? |
sprawdzam coidziennie logi i dzisiaj w logu "Messages" znalazlem kilka wpisow ktore mnie zaniepokoily. Mar 7 07:34:41 router_nnd proftpd[11437]: router_nnd (200.215.8.33[200.215.8.33]) - FTP session opened. Mar 7 07:34:42 router_nnd proftpd[11437]: router_nnd - FTP session closed Mar 7 22:09:20 router_nnd proftpd[15305]: router_nnd (217.146.137.37[217.146.137.37]) - FTP session opened. Mar 7 22:09:20 router_nnd proftpd[15305]: router_nnd - FTP session closed. jak widac sesje sa otwarte na sekunde a w drugim przypadku nawet nie na sekunde. Nie wiem co mam o tym myslec ? Jestem troche przewrazliwiony na punkcie bezpieczenstwa od sytyacji kiedy na swoim serwerze znalazlem ...podrobke strony logowania do serwisu PayPaal. Nie chce miec juz nieproszonych gosci na serwerze , ale nie chce tez zamykac ftp. co myslicie o tych logach ? ? |
|
| Autor: | MAC!EK [ środa, 8 marca 2006, 10:55 ] |
| Tytuł: | |
sprawdź czy to oznacza zalogowanie czy tylko jego próbę |
|
| Autor: | albert_szpenio [ środa, 8 marca 2006, 11:05 ] |
| Tytuł: | |
MAC!EK pisze: sprawdź czy to oznacza zalogowanie czy tylko jego próbę
ok..zrobilem probe - wpisalem adres serwera do klienta ftp u mnie na dysku dalem enter i od razu jak tylko wyskoczylo okno do podania usera dalem anuluj. zapis w logu jest identyczny jak podany w 1 poscie. Oznacza to - wedlug mnie - ze taki wpis jak wyzej zostaje odnotowany w logu po np. skanowaniu portu ? tak na moj chlopski rozumek  ))
ok. widze ze to akurat nie jest jakims problemem dziekuje wiec [up] |
|
| Autor: | MAC!EK [ środa, 8 marca 2006, 11:06 ] |
| Tytuł: | |
możesz też przeskanować sobie port :> i zobaczy wpis w logu
|
|
| Autor: | albert_szpenio [ środa, 8 marca 2006, 11:40 ] |
| Tytuł: | |
MAC!EK pisze: możesz też przeskanować sobie port :> i zobaczy wpis w logu
dokladnie ten sam wpis po skanie portu. tak wiec sprawa rozwiazana definitywnie
jednym slowek ktos robi jakies podchody, albo z ciekawosci skanuje porty... nic - poki co jestem troche spokojniejszy - choc czujny pozostaje
dzieki <ok> |
|
| Autor: | MAC!EK [ środa, 8 marca 2006, 12:16 ] |
| Tytuł: | |
Jeśli masz mocne hasło to nie masz się co martwić EOT |
|
| Autor: | adek- [ czwartek, 17 maja 2007, 21:04 ] |
| Tytuł: | |
Witam, ja mam podobny problem ale nieco bardziej spamowaty i to od 2 tygodni.... log messages stwierdza. Cytuj: Mar 28 13:03:56 serwer proftpd[10856]: serwer (207.58.201.147[207.58.201.147]) - FTP session opened. Mar 28 13:03:56 serwer proftpd[10856]: serwer (207.58.201.147[207.58.201.147]) - no such user 'Administrator' Mar 28 13:03:57 serwer last message repeated 2 times Mar 28 13:03:57 serwer proftpd[10856]: serwer - FTP session closed. Mar 28 13:03:57 serwer proftpd[10857]: serwer (207.58.201.147[207.58.201.147]) - FTP session opened. Mar 28 13:03:58 serwer proftpd[10857]: serwer (207.58.201.147[207.58.201.147]) - no such user 'Administrator' Mar 28 13:03:58 serwer last message repeated 2 times Mar 28 13:03:58 serwer proftpd[10857]: serwer - FTP session closed. Mar 28 13:03:59 serwer proftpd[10858]: serwer (207.58.201.147[207.58.201.147]) - FTP session opened. Mar 28 13:03:59 serwer proftpd[10858]: serwer (207.58.201.147[207.58.201.147]) - no such user 'Administrator' Mar 28 13:03:59 serwer last message repeated 2 times Mar 28 13:03:59 serwer proftpd[10858]: serwer - FTP session closed. Mar 28 13:04:00 serwer proftpd[10859]: serwer (207.58.201.147[207.58.201.147]) - FTP session opened. Mar 28 13:04:00 serwer proftpd[10859]: serwer (207.58.201.147[207.58.201.147]) - no such user 'Administrator' Mar 28 13:04:01 serwer last message repeated 2 times Mar 28 13:04:01 serwer proftpd[10859]: serwer - FTP session closed. Mar 28 13:04:01 serwer proftpd[10860]: serwer (207.58.201.147[207.58.201.147]) - FTP session opened. Mar 28 13:04:01 serwer proftpd[10860]: serwer (207.58.201.147[207.58.201.147]) - no such user 'Administrator' Mar 28 13:04:02 serwer last message repeated 2 times Mar 28 13:04:02 serwer proftpd[10860]: serwer - FTP session closed. Mar 28 13:04:02 serwer proftpd[10861]: serwer (207.58.201.147[207.58.201.147]) - FTP session opened. Mar 28 13:04:02 serwer proftpd[10861]: serwer (207.58.201.147[207.58.201.147]) - no such user 'Administrator' Mar 28 13:04:03 serwer last message repeated 2 times Mar 28 13:04:03 serwer proftpd[10861]: serwer - FTP session closed. jest tego mnóstwo i to chyba raczej nie jest przypadek?! Czy da sie jakos ograniczyc logowanie do ftp do paru razy i ban na 2h albo i dluzej ?? Mam rowniez takie wpisy i tez od cholery jak nie wiecej Cytuj: Mar 27 07:35:34 serwer proftpd[1785]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened.
Mar 27 07:35:34 serwer proftpd[1784]: serwer (190.40.21.14[190.40.21.14]) - no such user 'estefany' Mar 27 07:35:35 serwer proftpd[1784]: serwer - FTP session closed. Mar 27 07:35:35 serwer proftpd[1785]: serwer (190.40.21.14[190.40.21.14]) - no such user 'estela' Mar 27 07:35:35 serwer proftpd[1786]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened. Mar 27 07:35:35 serwer proftpd[1785]: serwer - FTP session closed. Mar 27 07:35:35 serwer proftpd[1787]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened. Mar 27 07:35:36 serwer proftpd[1786]: serwer (190.40.21.14[190.40.21.14]) - no such user 'estrella' Mar 27 07:35:36 serwer proftpd[1786]: serwer - FTP session closed. Mar 27 07:35:36 serwer proftpd[1787]: serwer (190.40.21.14[190.40.21.14]) - no such user 'eunices' Mar 27 07:35:36 serwer proftpd[1788]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened. Mar 27 07:35:36 serwer proftpd[1787]: serwer - FTP session closed. Mar 27 07:35:37 serwer proftpd[1789]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened. Mar 27 07:35:37 serwer proftpd[1788]: serwer (190.40.21.14[190.40.21.14]) - no such user 'eurika' Mar 27 07:35:37 serwer proftpd[1788]: serwer - FTP session closed. Mar 27 07:35:37 serwer proftpd[1789]: serwer (190.40.21.14[190.40.21.14]) - no such user 'evalene' Mar 27 07:35:37 serwer proftpd[1790]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened. Mar 27 07:35:37 serwer proftpd[1789]: serwer - FTP session closed. Mar 27 07:35:38 serwer proftpd[1791]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened. Mar 27 07:35:38 serwer proftpd[1790]: serwer (190.40.21.14[190.40.21.14]) - no such user 'evangelia' Mar 27 07:35:38 serwer proftpd[1790]: serwer - FTP session closed. Mar 27 07:35:38 serwer proftpd[1791]: serwer (190.40.21.14[190.40.21.14]) - no such user 'evenicia' Mar 27 07:35:39 serwer proftpd[1792]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened. Mar 27 07:35:39 serwer proftpd[1791]: serwer - FTP session closed. Mar 27 07:35:39 serwer proftpd[1793]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened. Mar 27 07:35:39 serwer proftpd[1792]: serwer (190.40.21.14[190.40.21.14]) - no such user 'eyana' Mar 27 07:35:39 serwer proftpd[1792]: serwer - FTP session closed. Tutaj wydaje mi sie proba lamania hasla do ftpy metoda slownikowa.. cóż moge poczynic z takim obrotem sprawy? Odczowalem lagi na serwerze w lekkim stopniu i wydaje misie ze to moze byc tez przez proby laczenia sie ;/ Prosze o porade |
|
| Autor: | Szurik [ czwartek, 17 maja 2007, 21:29 ] |
| Tytuł: | |
panie jak ci ktoś po portach jedzie to tak wywala ze połączony rozłączony ! a to co -adek pokazuje to jest soft prubujacy wlamac sie atakuje cie wlamuje sie rozpakowuje i dalej atakuje z twego kompa robie w hostingu i i czasem mam logi po 100mb takiego syfu !
|
|
| Autor: | Szurik [ czwartek, 17 maja 2007, 21:33 ] |
| Tytuł: | |
polecam zrobić sobie plik nadać mu prawa 777 i dopisywać iptables -I INPUT -s 207.58.201.147 -j DROP i masz święty spokój |
|
| Autor: | JakubC [ czwartek, 17 maja 2007, 22:34 ] |
| Tytuł: | |
Roboty skanujące ftp. Pomóc może zmiana portu ftp (jednak nie jest to korzystne z paru względów), lub automatyczne blokowanie po iptables po którejś próbie takiego robota. |
|
| Autor: | adek- [ piątek, 18 maja 2007, 18:37 ] |
| Tytuł: | |
Witam ponownie. Cytuj: polecam zrobić sobie plik nadać mu prawa 777 i dopisywać iptables -I INPUT -s 207.58.201.147 -j DROP Hmm zrobić plik czy moge sobie po prostu wkleic to do pliku firewall? Ogólnie to przedsiewziolem pewne kroki i zrobilem skrypt wg czerwo Cytuj: http://forum.freesco.pl/viewtopic.php?t=10841
co mi dalo po jednym niu 4 megowy pliczek z adresami ip....  ale to dotyczylo ssh a tutaj widac jak gosc probuje rowniez na ftp sie wbic... szuka hostingodawcy chyba Jest cos podobnego co blokuje dostep do ftp po kilku nieudanych probach ??
|
|
| Autor: | JakubC [ piątek, 18 maja 2007, 23:46 ] |
| Tytuł: | |
To chyba jedyne rozwiązanie, ale bardzo skuteczne. Sprawdź tylko czy dobrze poprawiłeś, bo za dużo tych adresów. |
|
| Autor: | adek- [ sobota, 26 maja 2007, 18:20 ] |
| Tytuł: | |
No i cisza jak makiem zasiał... niestety musiałem zrobić białą liste adresów IP dla logujacych się przez ssh, co mnie troszke bolało zwłaszca wczoraj i dzisiaj - nie moglem sie dobić do serwera z terenu ;/ Skrypt czerwo jest ok i po ponad tygodniu pracy zbanowal 324 adresy ip LOL oraz zrobil b duzy plik logu. Niestety niewystarczajacy byl do zlikwidowania calego dziadostwa na stale. Teraz chcial bym tylko jakis skrypt blokujacy ftp po 3 nieudanych logowaniach na godziny ma ktoś wymajstrowane cos takiego?? |
|
| Autor: | JakubC [ sobota, 26 maja 2007, 20:05 ] |
| Tytuł: | |
Bardzo prosto przerobić skrypt czerwa aby działał w ten sposób. |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|